Nginx mit Client-Zertifikat funktioniert nicht wie erwartet

[Anfänger1]

Guten Morgen alle zusammen,

bisher hatte ich eine Seite mit Passwort-Authentifizierung geschützt, was auch wie gewünscht funktioniert.

Jetzt möchte ich die Seite auf Client-Zertifikat-Authentifizierung umstellen.
Das Zertifikat habe ich nach Anleitung aus dem Internet erstellt und in /etc/nginx/sites-available/default anstelle der Passwort-Authentifizierung eingetragen.

location /xyz {
        if ($ssl_client_verify != "SUCCESS") {
            return 403;
            break;
        }
        location ~ \.php$ {
            include fastcgi.conf;
            fastcgi_pass unix:/run/php/php7.4-fpm.sock;
        }
    }

/var/www/xyz/ enthält natürlich eine index.php.

Wenn ich aus dem Browser https://url.de/xyz aufrufe, wird nach dem Zertifikat gefragt, wenn ich es akzeptiere, wird die index.php abgearbeitet, lehne ich es ab, zeigt nginx wie erwartet "403 Forbidden" an.

Rufe ich dagegen https://url.de/xyz/index.php auf, ist es völlig egal ob ich das Zertifikat ablehne oder annehme, die index.php wird trotzdem abgearbeitet.

Ich benutze nginx 1.18.0

Ich bitte um Hilfe, was mache ich falsch????

Vielen Dank!

Gruß
Jörg

 

[d4f]

Ursache ist if-is-evil: https://www.nginx.com/resources/wiki/start/topics/depth/ifisevil/
Das erste Beispiel erklärt warum dein Fall nicht funktioniert weil Location prioritär zum IF bearbeitet wird.

 

[Anfänger1]

Vielen Dank für die schnelle Antwort.
Jetzt kenne ich wenigstens die Ursache (da wäre ich nie drauf gekommen) und kann darüber nachdenken, wie ich es umgehe.

Vorerst werde ich da wohl erst einmal noch die Passwort-Authentifizierung einsetzen bis ich das Problem gelöst habe.

Gruß
Jörg

 

[nexus]

und kann darüber nachdenken, wie ich es umgehe

Ungetestet (grad keine nginx Maschine zur Hand):

location ^~ /xyz {

 

[Anfänger1]

location ^~ /xyz {

Das funktioniert auch nicht, gleiches Verhalten wie bei

location /xyz {

 

[Anfänger1]

Mit nginx und

location /irgendwas { 
if ($ssl_client_verify != "SUCCESS") {
            return 403;
        }
        location ~ \.php$ {
            include fastcgi.conf;
            fastcgi_pass unix:/run/php/php7.4-fpm.sock;
        }
 }

habe ich es nicht geschafft, das Problem zu lösen.

Nach tagelangem Probieren und mit Hilfe Eurer Hinweise habe ich eine andere Lösung gefunden:

In /etc/nginx/fastcgi.conf habe ich eingefügt

fastcgi_param TLS_SUCCESS $ssl_client_verify;

Damit wird die nginx-Variable $ssl_client_verify auf $_SERVER['TLS_SUCCESS'] übergeben und kann im Script abgefragt werden.

Im zu schützenden php-Script teste ich dann ganz am Anfang:

$SERVER = filter_input_array(INPUT_SERVER);
if (!isset($SERVER['TLS_SUCCESS']) || $SERVER['TLS_SUCCESS'] != 'SUCCESS') {
  http_response_code(403);
  die();
}

Das hat den Vorteil, dass die nginx Konfiguration in /etc/nginx/sites-available/default sich vereinfacht weil alle location ... { ... } Blöcke für Seiten mit überwachten php-Scripten entfallen können. Man muss also nicht mehr in der nginx-Konfiguration editieren wenn ein anderes php-Script dazukommt oder entfällt.

Ich teste diese Methode jetzt, bisher funktioniert es, ich habe hoffentlich nichts übersehen.

...etwas Besseres fällt mir nicht ein.
Über andere Ideen oder Lösungen würde ich mich weiterhin freuen.

Danke für Eure Hilfe!
Gruß
Jörg

 

[greystone]

Ich kenne die Lösung hier auch nicht. Anhand des "if is evil" - Beitrages würde ich vielleicht so etwas versuchen:

location /irgendwas {
   if ($ssl_client_verify != "SUCCESS") { return 403; }
   location ~ \.php$ {
      if ($ssl_client_verify != "SUCCESS") { return 403; }
      include fastcgi.conf;
      fastcgi_pass unix:/run/php/php7.4-fpm.sock;
      }
}

So wie ich das verstanden habe, und so wie es d4f schrieb, hat "location" im Vergleich zu "if" eine höhere Priorität.

 

[Anfänger1]

Gute Idee, habe ich gleich ausprobiert...

Das funktioniert auch nicht.
nginx -t gibt dann die verwirrende Fehlermeldung aus:

nginx: [emerg] "fastcgi_param" directive is not allowed here in /etc/nginx/fastcgi.conf:2
nginx: configuration file /etc/nginx/nginx.conf test failed

Mein fastcgi_param

TLS_SUCCESS $ssl_client_verify;

hatte ich natürlich vorher aus der fastcgi.conf wieder entfernt.
Außerdem steht in fastcgi.conf in Zeile 2 der erste fastcgi_param, der per default schon vorhanden war.

 

[Anfänger1]

Sorry, ich hatte noch einen Syntaxfehler eingebaut, vergiss die vorherige Antwort, ich teste es noch einmal...

 

[Anfänger1]

@greystone

Das funktioniert tatsächlich, die Lösung kann doch so einfach sein...man muss nur drauf kommen.

Problem gelöst
Vielen Dank!

 

[Joe User]

Mir fehlt da irgendwie die logische Trennung, aka das ist viel zu unübersichtlich...

location /irgendwas { 
    if ($ssl_client_verify != "SUCCESS") {
        return 403;
    }
}
location ~ \.php$ {
    include fastcgi.conf;
    fastcgi_pass unix:/run/php/php7.4-fpm.sock;
}

 

[greystone]

Ich habe Bullshit geschrieben und kann meinen Bullshit-Beitrag mangels Berechtigung nicht mehr löschen.

 

[Anfänger1]

Die Lösung, mit der es funktioniert sieht so aus (etwas abgewandelt von @greystone) :

location /irgendwas {
   location ~ \.php$ {
      if ($ssl_client_verify != "SUCCESS") { return 403; }
      include fastcgi.conf;
      fastcgi_pass unix:/run/php/php7.4-fpm.sock;
    }
}

 

[Joe User]

Und alle !=PHP Elemente werden weiterhin ungesichert ausgeliefert, das ist nicht wirklich sinnvoll...

 

[Anfänger1]

Und alle !=PHP Elemente werden weiterhin ungesichert ausgeliefert, das ist nicht wirklich sinnvoll...

Das ist sicher für andere Einsatzzwecke richtig, bei mir befinden sich aber im Verzeichnis nur die index.php, jquery und ein Icon.